Tech Insights

【CVE-2024-10543】Tumult Hype Animations 1.9.14以前...

2024年11月12日

WordPressプラグインのTumult Hype Animationsにおいて、バージョン1.9.14以前に認可不備の脆弱性が発見された。この脆弱性により、Subscriber以上の権限を持つ認証済み攻撃者がアニメーション情報を取得可能な状態となっている。CVSSスコアは4.3（MEDIUM）と評価され、攻撃条件の複雑さは低く、特権レベルも低いとされており、早急な対応が推奨される。

【CVE-2024-10543】Tumult Hype Animations 1.9.14以前...

2024年11月12日

WordPressプラグインのTumult Hype Animationsにおいて、バージョン1.9.14以前に認可不備の脆弱性が発見された。この脆弱性により、Subscriber以上の権限を持つ認証済み攻撃者がアニメーション情報を取得可能な状態となっている。CVSSスコアは4.3（MEDIUM）と評価され、攻撃条件の複雑さは低く、特権レベルも低いとされており、早急な対応が推奨される。

【CVE-2024-10916】D-Link NAS製品に情報漏洩の脆弱性、DNS-320など...

2024年11月12日

D-LinkのNAS製品であるDNS-320、DNS-320LW、DNS-325、DNS-340Lに情報漏洩の脆弱性が発見された。この脆弱性は/xml/info.xmlコンポーネントのHTTP GETリクエストハンドラーに関連しており、認証不要でリモートから攻撃可能な状態となっている。CVSS 4.0で6.9のスコアが付けられ、既に攻撃手法が公開されていることから、早急な対応が必要とされている。

【CVE-2024-10916】D-Link NAS製品に情報漏洩の脆弱性、DNS-320など...

2024年11月12日

D-LinkのNAS製品であるDNS-320、DNS-320LW、DNS-325、DNS-340Lに情報漏洩の脆弱性が発見された。この脆弱性は/xml/info.xmlコンポーネントのHTTP GETリクエストハンドラーに関連しており、認証不要でリモートから攻撃可能な状態となっている。CVSS 4.0で6.9のスコアが付けられ、既に攻撃手法が公開されていることから、早急な対応が必要とされている。

【CVE-2024-10915】D-Link NASデバイスに深刻な脆弱性、コマンドインジェク...

2024年11月12日

D-LinkのNASデバイス（DNS-320、DNS-320LW、DNS-325、DNS-340L）において、OSコマンドインジェクションの重大な脆弱性が発見された。account_mgr.cgiのcgi_user_add機能でgroupパラメータを操作することで、認証なしでリモートからの攻撃が可能となる。CVSSスコア9.2のクリティカルな脆弱性として報告され、早急な対策が必要とされている。

【CVE-2024-10915】D-Link NASデバイスに深刻な脆弱性、コマンドインジェク...

2024年11月12日

D-LinkのNASデバイス（DNS-320、DNS-320LW、DNS-325、DNS-340L）において、OSコマンドインジェクションの重大な脆弱性が発見された。account_mgr.cgiのcgi_user_add機能でgroupパラメータを操作することで、認証なしでリモートからの攻撃が可能となる。CVSSスコア9.2のクリティカルな脆弱性として報告され、早急な対策が必要とされている。

【CVE-2024-10647】WS Form LITE 1.9.244以前のバージョンに反射...

2024年11月12日

WordPressプラグインのWS Form LITE – Drag & Drop Contact Form Builderにおいて、反射型クロスサイトスクリプティングの脆弱性が発見された。バージョン1.9.244以前のすべてのバージョンが影響を受け、非認証の攻撃者がユーザーを騙してリンクをクリックさせることで任意のWebスクリプトを実行できる可能性がある。CVSSスコアは6.1（MEDIUM）と評価され、早急な対策が必要とされている。

【CVE-2024-10647】WS Form LITE 1.9.244以前のバージョンに反射...

2024年11月12日

WordPressプラグインのWS Form LITE – Drag & Drop Contact Form Builderにおいて、反射型クロスサイトスクリプティングの脆弱性が発見された。バージョン1.9.244以前のすべてのバージョンが影響を受け、非認証の攻撃者がユーザーを騙してリンクをクリックさせることで任意のWebスクリプトを実行できる可能性がある。CVSSスコアは6.1（MEDIUM）と評価され、早急な対策が必要とされている。

【CVE-2024-9946】WordPress用プラグインSuper Socializerに...

2024年11月12日

WordPressプラグインSuper Socializerのバージョン7.13.68以前に認証バイパスの脆弱性が発見された。ソーシャルログイントークンの検証不足により、攻撃者は既存ユーザーのメールアドレスを使用して不正アクセスが可能となる。CVSSスコア8.1のHigh評価で、管理者アカウントも設定次第で影響を受ける可能性がある。バージョン7.13.68で部分的な修正が実施されている。

【CVE-2024-9946】WordPress用プラグインSuper Socializerに...

2024年11月12日

WordPressプラグインSuper Socializerのバージョン7.13.68以前に認証バイパスの脆弱性が発見された。ソーシャルログイントークンの検証不足により、攻撃者は既存ユーザーのメールアドレスを使用して不正アクセスが可能となる。CVSSスコア8.1のHigh評価で、管理者アカウントも設定次第で影響を受ける可能性がある。バージョン7.13.68で部分的な修正が実施されている。

【CVE-2024-10914】D-Link NASシリーズに深刻な脆弱性、OSコマンドインジ...

2024年11月12日

D-Link社のNASシリーズDNS-320、DNS-320LW、DNS-325、DNS-340Lにおいて、account_mgr.cgiのcgi_user_add機能にOSコマンドインジェクションの脆弱性が発見された。CVSS v4.0で9.2のクリティカルスコアが付与されており、認証不要でリモートからの攻撃が可能。機密性・整合性・可用性すべてに高い影響を及ぼす可能性がある重大な脆弱性として報告されている。

【CVE-2024-10914】D-Link NASシリーズに深刻な脆弱性、OSコマンドインジ...

2024年11月12日

D-Link社のNASシリーズDNS-320、DNS-320LW、DNS-325、DNS-340Lにおいて、account_mgr.cgiのcgi_user_add機能にOSコマンドインジェクションの脆弱性が発見された。CVSS v4.0で9.2のクリティカルスコアが付与されており、認証不要でリモートからの攻撃が可能。機密性・整合性・可用性すべてに高い影響を及ぼす可能性がある重大な脆弱性として報告されている。

【CVE-2024-6626】EleForms 2.9.9.9に認証機能の欠如による脆弱性、フ...

2024年11月12日

WordPressプラグインのEleForms 2.9.9.9以前のバージョンに、認証機能の欠如による重大な脆弱性が発見された。この脆弱性により、未認証の攻撃者がフォーム送信データを閲覧可能な状態となっている。CVE-2024-6626として識別され、CVSSスコアは5.3（Medium）と評価されている。影響を受けるバージョンを使用している場合は、速やかなアップデートが推奨される。

【CVE-2024-6626】EleForms 2.9.9.9に認証機能の欠如による脆弱性、フ...

2024年11月12日

WordPressプラグインのEleForms 2.9.9.9以前のバージョンに、認証機能の欠如による重大な脆弱性が発見された。この脆弱性により、未認証の攻撃者がフォーム送信データを閲覧可能な状態となっている。CVE-2024-6626として識別され、CVSSスコアは5.3（Medium）と評価されている。影響を受けるバージョンを使用している場合は、速やかなアップデートが推奨される。

【CVE-2024-10919】didi Super-Jacoco 1.0にOSコマンドインジ...

2024年11月12日

didi Super-Jacoco 1.0のtriggerUnitCoverファイルにおいて、uuid引数を介したOSコマンドインジェクションの脆弱性が発見された。CVE-2024-10919として登録されたこの脆弱性は、認証情報があればリモートから攻撃可能で、既にエクスプロイトコードが公開されている。CVSSスコアは最新のv4.0で5.3（MEDIUM）と評価されており、早急な対応が必要とされている。

【CVE-2024-10919】didi Super-Jacoco 1.0にOSコマンドインジ...

2024年11月12日

didi Super-Jacoco 1.0のtriggerUnitCoverファイルにおいて、uuid引数を介したOSコマンドインジェクションの脆弱性が発見された。CVE-2024-10919として登録されたこの脆弱性は、認証情報があればリモートから攻撃可能で、既にエクスプロイトコードが公開されている。CVSSスコアは最新のv4.0で5.3（MEDIUM）と評価されており、早急な対応が必要とされている。

【CVE-2024-10168】Active Products Tables for WooC...

2024年11月12日

WordfenceによってActive Products Tables for WooCommerceプラグインのバージョン1.0.6.4以前に深刻な脆弱性が発見された。woot_buttonショートコードを介した格納型XSSの脆弱性により、contributor以上の権限を持つユーザーが任意のスクリプトを実行可能。CVSSスコア6.4のMedium評価で、早急な対応が必要とされている。

【CVE-2024-10168】Active Products Tables for WooC...

2024年11月12日

WordfenceによってActive Products Tables for WooCommerceプラグインのバージョン1.0.6.4以前に深刻な脆弱性が発見された。woot_buttonショートコードを介した格納型XSSの脆弱性により、contributor以上の権限を持つユーザーが任意のスクリプトを実行可能。CVSSスコア6.4のMedium評価で、早急な対応が必要とされている。

【CVE-2024-8323】Easy Pricing Tables 3.2.6にXSS脆弱性...

2024年11月12日

WordPressプラグインEasy Pricing Tables 3.2.6以前のバージョンにおいて、Stored XSSの脆弱性が発見された。CVSSスコア6.4のMedium評価で、Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを注入可能。fontFamily属性の不適切なサニタイズ処理が原因で、ページアクセス時に悪意のあるスクリプトが実行される可能性がある。

【CVE-2024-8323】Easy Pricing Tables 3.2.6にXSS脆弱性...

2024年11月12日

WordPressプラグインEasy Pricing Tables 3.2.6以前のバージョンにおいて、Stored XSSの脆弱性が発見された。CVSSスコア6.4のMedium評価で、Contributor以上の権限を持つ攻撃者が任意のWebスクリプトを注入可能。fontFamily属性の不適切なサニタイズ処理が原因で、ページアクセス時に悪意のあるスクリプトが実行される可能性がある。

【CVE-2024-10318】NGINX OpenID Connectでセッション固定の脆弱...

2024年11月12日

F5 NetworksはNGINX OpenID Connect実装において、ログイン時のnonceチェックが行われないセッション固定の脆弱性を公開した。この問題により攻撃者は被害者のセッションを制御下のアカウントに固定可能となる。NGINX Instance Manager、NGINX API Connectivity Manager、NGINX Ingress Controllerなど複数製品への影響が判明し、各製品のアップデートで対応を完了している。

【CVE-2024-10318】NGINX OpenID Connectでセッション固定の脆弱...

2024年11月12日

F5 NetworksはNGINX OpenID Connect実装において、ログイン時のnonceチェックが行われないセッション固定の脆弱性を公開した。この問題により攻撃者は被害者のセッションを制御下のアカウントに固定可能となる。NGINX Instance Manager、NGINX API Connectivity Manager、NGINX Ingress Controllerなど複数製品への影響が判明し、各製品のアップデートで対応を完了している。

【CVE-2024-10020】Heateor Social Login WordPress ...

2024年11月12日

WordPressプラグインのHeateor Social Login WordPress 1.1.35以前のバージョンで認証バイパスの脆弱性が発見された。CVSSスコア8.1の高リスク脆弱性で、未認証の攻撃者が任意のユーザーとしてログイン可能。管理者アカウントもソーシャルログイン認証が許可されている場合は危険にさらされる。早急なアップデートと認証設定の見直しが推奨される。

【CVE-2024-10020】Heateor Social Login WordPress ...

2024年11月12日

WordPressプラグインのHeateor Social Login WordPress 1.1.35以前のバージョンで認証バイパスの脆弱性が発見された。CVSSスコア8.1の高リスク脆弱性で、未認証の攻撃者が任意のユーザーとしてログイン可能。管理者アカウントもソーシャルログイン認証が許可されている場合は危険にさらされる。早急なアップデートと認証設定の見直しが推奨される。

【CVE-2024-49522】Substance3D - Painter 10.0.1に深刻...

2024年11月12日

Adobeが3DペイントソフトウェアSubstance3D - Painter 10.0.1以前のバージョンにOut-of-bounds Write脆弱性を確認。CVSSスコア7.8（High）で、悪意あるファイルを開くことで任意コードが実行される可能性。機密性・完全性・可用性すべてで高レベルの影響。CISA-ADPも確認し、早急な対応を推奨している。

【CVE-2024-49522】Substance3D - Painter 10.0.1に深刻...

2024年11月12日

Adobeが3DペイントソフトウェアSubstance3D - Painter 10.0.1以前のバージョンにOut-of-bounds Write脆弱性を確認。CVSSスコア7.8（High）で、悪意あるファイルを開くことで任意コードが実行される可能性。機密性・完全性・可用性すべてで高レベルの影響。CISA-ADPも確認し、早急な対応を推奨している。

【CVE-2024-10329】Ultimate Bootstrap Elements for...

2024年11月12日

WordPressプラグインUltimate Bootstrap Elements for Elementor 1.4.6以前のバージョンに機密情報漏洩の脆弱性が発見された。この脆弱性により、投稿者以上の権限を持つユーザーが非公開テンプレートの内容を閲覧可能な状態となっている。CVSS v3.1で4.3（MEDIUM）と評価されており、早急なアップデートが推奨される。

【CVE-2024-10329】Ultimate Bootstrap Elements for...

2024年11月12日

WordPressプラグインUltimate Bootstrap Elements for Elementor 1.4.6以前のバージョンに機密情報漏洩の脆弱性が発見された。この脆弱性により、投稿者以上の権限を持つユーザーが非公開テンプレートの内容を閲覧可能な状態となっている。CVSS v3.1で4.3（MEDIUM）と評価されており、早急なアップデートが推奨される。

【CVE-2024-10319】Xpro Addons For Elementor FREE ...

2024年11月12日

WordPressプラグイン「140+ Widgets | Xpro Addons For Elementor – FREE」のバージョン1.4.6以前に深刻な情報漏洩の脆弱性が発見された。この脆弱性により、Contributor以上の権限を持つユーザーが非公開テンプレートデータや下書きコンテンツにアクセス可能となる。CVSSスコアは4.3（MEDIUM）で、攻撃の複雑さは低いとされている。

【CVE-2024-10319】Xpro Addons For Elementor FREE ...

2024年11月12日

WordPressプラグイン「140+ Widgets | Xpro Addons For Elementor – FREE」のバージョン1.4.6以前に深刻な情報漏洩の脆弱性が発見された。この脆弱性により、Contributor以上の権限を持つユーザーが非公開テンプレートデータや下書きコンテンツにアクセス可能となる。CVSSスコアは4.3（MEDIUM）で、攻撃の複雑さは低いとされている。

【CVE-2024-10523】TP-Link Tapo H100でWi-Fi認証情報が平文保...

2024年11月12日

TP-Link Tapo H100 IoT Smart Hubにおいて、Wi-Fi認証情報が平文でファームウェアに保存される重大な脆弱性が発見された。CERT-Inが公開したこの脆弱性は物理的なアクセス権を持つ攻撃者によって悪用される可能性があり、CVSSスコア4.4（MEDIUM）と評価されている。影響を受けるバージョンは1.5.22未満で、早急なアップデートが推奨される。

【CVE-2024-10523】TP-Link Tapo H100でWi-Fi認証情報が平文保...

2024年11月12日

TP-Link Tapo H100 IoT Smart Hubにおいて、Wi-Fi認証情報が平文でファームウェアに保存される重大な脆弱性が発見された。CERT-Inが公開したこの脆弱性は物理的なアクセス権を持つ攻撃者によって悪用される可能性があり、CVSSスコア4.4（MEDIUM）と評価されている。影響を受けるバージョンは1.5.22未満で、早急なアップデートが推奨される。

【CVE-2024-38408】QualcommのBTコントローラに重大な暗号化の脆弱性、Sn...

2024年11月12日

Qualcommは2024年11月4日、BTコントローラにおける重大な暗号化の脆弱性を公開した。CVE-2024-38408として報告されたこの問題は、予期しない状況下でのLMP開始暗号化コマンド処理に関する脆弱性で、CVSS v3.1で8.2のスコアを記録。Snapdragon Auto、Mobile、Compute、Connectivityなど、広範な製品群に影響を及ぼすことが判明している。

【CVE-2024-38408】QualcommのBTコントローラに重大な暗号化の脆弱性、Sn...

2024年11月12日

Qualcommは2024年11月4日、BTコントローラにおける重大な暗号化の脆弱性を公開した。CVE-2024-38408として報告されたこの問題は、予期しない状況下でのLMP開始暗号化コマンド処理に関する脆弱性で、CVSS v3.1で8.2のスコアを記録。Snapdragon Auto、Mobile、Compute、Connectivityなど、広範な製品群に影響を及ぼすことが判明している。

【CVE-2024-51556】Wave 2.0のAPIレスポンス暗号化に脆弱性、認証済み攻撃...

2024年11月12日

Wave 2.0において、APIレスポンスの脆弱な暗号化を悪用できる重大な脆弱性が発見された。CVE-2024-51556として識別されるこの脆弱性は、認証済みの攻撃者がAPIリクエストURLのuser_idパラメータを操作することで、他のユーザーの機密情報に不正にアクセスできる問題がある。CVSSスコア7.1のHigh評価で、バージョン1.1.7未満が影響を受ける。

【CVE-2024-51556】Wave 2.0のAPIレスポンス暗号化に脆弱性、認証済み攻撃...

2024年11月12日

Wave 2.0において、APIレスポンスの脆弱な暗号化を悪用できる重大な脆弱性が発見された。CVE-2024-51556として識別されるこの脆弱性は、認証済みの攻撃者がAPIリクエストURLのuser_idパラメータを操作することで、他のユーザーの機密情報に不正にアクセスできる問題がある。CVSSスコア7.1のHigh評価で、バージョン1.1.7未満が影響を受ける。

【CVE-2024-10035】BG-TEK CoslatV3にコードインジェクションの脆弱性...

2024年11月12日

TR-CERTはBG-TEK Informatics Security TechnologiesのCoslatV3に深刻なコードインジェクションの脆弱性を発見した。CVE-2024-10035として識別されるこの脆弱性は、バージョン0から3.1069までのすべてのバージョンに影響を及ぼし、CVSS v4.0で深刻度9.2のクリティカルと評価されている。すでにサポートが終了している製品であるため、ユーザーには早急な対応が求められる。

【CVE-2024-10035】BG-TEK CoslatV3にコードインジェクションの脆弱性...

2024年11月12日

TR-CERTはBG-TEK Informatics Security TechnologiesのCoslatV3に深刻なコードインジェクションの脆弱性を発見した。CVE-2024-10035として識別されるこの脆弱性は、バージョン0から3.1069までのすべてのバージョンに影響を及ぼし、CVSS v4.0で深刻度9.2のクリティカルと評価されている。すでにサポートが終了している製品であるため、ユーザーには早急な対応が求められる。

【CVE-2024-51560】Wave 2.0で不適切なエラー処理の脆弱性が発見、認証済み攻...

2024年11月12日

Brokerage Technology SolutionsのWave 2.0において、APIエンドポイントでの不適切な例外処理に起因する重大な脆弱性が発見された。CVE-2024-51560として識別されるこの脆弱性は、認証済みの遠隔攻撃者がuserIdパラメータに不正な入力を行うことで、システム上の機密情報を含むエラーメッセージを取得可能。CVSS 4.0で7.1のHighスコアを記録し、早急な対応が必要とされている。

【CVE-2024-51560】Wave 2.0で不適切なエラー処理の脆弱性が発見、認証済み攻...

2024年11月12日

Brokerage Technology SolutionsのWave 2.0において、APIエンドポイントでの不適切な例外処理に起因する重大な脆弱性が発見された。CVE-2024-51560として識別されるこの脆弱性は、認証済みの遠隔攻撃者がuserIdパラメータに不正な入力を行うことで、システム上の機密情報を含むエラーメッセージを取得可能。CVSS 4.0で7.1のHighスコアを記録し、早急な対応が必要とされている。

【CVE-2024-51559】Wave 2.0に認証バイパスの脆弱性、他ユーザーのアラート操...

2024年11月12日

Brokerage Technology SolutionsのWave 2.0において、APIエンドポイントの認証チェック不備による重大な脆弱性が発見された。CVE-2024-51559として識別されるこの脆弱性により、認証済みの攻撃者が他のユーザーアカウントのアラートを不正に操作可能となる。CVSS v4.0で7.1の高スコアが付与され、バージョン1.1.7未満のシステムが影響を受ける。

【CVE-2024-51559】Wave 2.0に認証バイパスの脆弱性、他ユーザーのアラート操...

2024年11月12日

Brokerage Technology SolutionsのWave 2.0において、APIエンドポイントの認証チェック不備による重大な脆弱性が発見された。CVE-2024-51559として識別されるこの脆弱性により、認証済みの攻撃者が他のユーザーアカウントのアラートを不正に操作可能となる。CVSS v4.0で7.1の高スコアが付与され、バージョン1.1.7未満のシステムが影響を受ける。

【CVE-2024-43937】WP Crowdfunding 2.1.10に認証不備の脆弱性...

2024年11月12日

WordPressプラグインWP Crowdfundingにおいて、バージョン2.1.10以前に認証に関する重大な脆弱性が発見された。CVE-2024-43937として識別されるこの脆弱性は、CVSSスコア6.4（MEDIUM）と評価され、低権限ユーザーによる設定変更を可能にする深刻な問題を引き起こしている。Themeumは対策として認証機能を強化したバージョン2.1.11をリリースしている。

【CVE-2024-43937】WP Crowdfunding 2.1.10に認証不備の脆弱性...

2024年11月12日

WordPressプラグインWP Crowdfundingにおいて、バージョン2.1.10以前に認証に関する重大な脆弱性が発見された。CVE-2024-43937として識別されるこの脆弱性は、CVSSスコア6.4（MEDIUM）と評価され、低権限ユーザーによる設定変更を可能にする深刻な問題を引き起こしている。Themeumは対策として認証機能を強化したバージョン2.1.11をリリースしている。

【CVE-2024-44019】Contact Form 7 Campaign Monitor...

2024年11月12日

WordPressプラグインContact Form 7 Campaign Monitor Extensionのバージョン0.4.67以下において、認証機能の不備による脆弱性が発見された。CVE-2024-44019として識別されるこの脆弱性は、Missing Authorization（CWE-862）に分類され、CVSSスコア5.3のMedium評価となっている。この問題により未認証のユーザーが任意のファイル削除機能にアクセス可能となり、早急な対応が必要とされている。

【CVE-2024-44019】Contact Form 7 Campaign Monitor...

2024年11月12日

WordPressプラグインContact Form 7 Campaign Monitor Extensionのバージョン0.4.67以下において、認証機能の不備による脆弱性が発見された。CVE-2024-44019として識別されるこの脆弱性は、Missing Authorization（CWE-862）に分類され、CVSSスコア5.3のMedium評価となっている。この問題により未認証のユーザーが任意のファイル削除機能にアクセス可能となり、早急な対応が必要とされている。

【CVE-2024-43979】WordPressテーマBlockboosterにアクセス制御...

2024年11月12日

CozyThemesのWordPressテーマBlockboosterにおいて、アクセス制御リスト（ACL）による制限が適切に機能していない重大な脆弱性が発見された。CVE-2024-43979として識別されるこの脆弱性は、バージョン1.0.10以前の全てのバージョンに影響を与えており、外部からのネットワークアクセスによる攻撃が可能である。CVSSスコアは6.5を記録し、完全性と可用性に部分的な影響があることが確認されている。

【CVE-2024-43979】WordPressテーマBlockboosterにアクセス制御...

2024年11月12日

CozyThemesのWordPressテーマBlockboosterにおいて、アクセス制御リスト（ACL）による制限が適切に機能していない重大な脆弱性が発見された。CVE-2024-43979として識別されるこの脆弱性は、バージョン1.0.10以前の全てのバージョンに影響を与えており、外部からのネットワークアクセスによる攻撃が可能である。CVSSスコアは6.5を記録し、完全性と可用性に部分的な影響があることが確認されている。

【CVE-2024-43968】Newspack 3.8.7未満のアクセス制御脆弱性、権限昇格...

2024年11月12日

WordPressプラグインNewspackにおいて、バージョン3.8.7未満に存在するアクセス制御の脆弱性が発見された。この脆弱性はCVE-2024-43968として識別され、CVSS 3.1で中程度（4.3）と評価されている。アクセス制御設定の不備により、特定の権限を持つユーザーが意図しない形で権限を昇格させる可能性があり、Automatticは速やかなアップデートを推奨している。

【CVE-2024-43968】Newspack 3.8.7未満のアクセス制御脆弱性、権限昇格...

2024年11月12日

WordPressプラグインNewspackにおいて、バージョン3.8.7未満に存在するアクセス制御の脆弱性が発見された。この脆弱性はCVE-2024-43968として識別され、CVSS 3.1で中程度（4.3）と評価されている。アクセス制御設定の不備により、特定の権限を持つユーザーが意図しない形で権限を昇格させる可能性があり、Automatticは速やかなアップデートを推奨している。

【CVE-2024-44031】JoomSport 5.6.3以前のバージョンにアクセス制御の...

2024年11月12日

WordPressプラグインJoomSport 5.6.3以前のバージョンにおいて、アクセス制御の設定不備による脆弱性が発見された。CVE-2024-44031として識別されたこの問題は、CVSSスコア4.3のミディアムレベルの脆弱性であり、認証されたユーザーによる情報改ざんの可能性が指摘されている。開発元のBearDevは修正版となるバージョン5.6.4をリリースし、ユーザーに対して早急なアップデートを呼びかけている。

【CVE-2024-44031】JoomSport 5.6.3以前のバージョンにアクセス制御の...

2024年11月12日

WordPressプラグインJoomSport 5.6.3以前のバージョンにおいて、アクセス制御の設定不備による脆弱性が発見された。CVE-2024-44031として識別されたこの問題は、CVSSスコア4.3のミディアムレベルの脆弱性であり、認証されたユーザーによる情報改ざんの可能性が指摘されている。開発元のBearDevは修正版となるバージョン5.6.4をリリースし、ユーザーに対して早急なアップデートを呼びかけている。

【CVE-2024-43981】WordPressのGeoDirectoryプラグイン2.3....

2024年11月12日

AyeCode社が開発するWordPress用プラグインGeoDirectoryにおいて、アクセス制御の設定不備による認証の脆弱性が発見された。CVE-2024-43981として識別されるこの脆弱性は、バージョン2.3.70以前に影響を及ぼし、CVSSスコア4.3（MEDIUM）と評価されている。権限のないユーザーが本来アクセスできない機能や情報にアクセスできる可能性があり、直ちに最新バージョン2.3.71へのアップデートが推奨される。

【CVE-2024-43981】WordPressのGeoDirectoryプラグイン2.3....

2024年11月12日

AyeCode社が開発するWordPress用プラグインGeoDirectoryにおいて、アクセス制御の設定不備による認証の脆弱性が発見された。CVE-2024-43981として識別されるこの脆弱性は、バージョン2.3.70以前に影響を及ぼし、CVSSスコア4.3（MEDIUM）と評価されている。権限のないユーザーが本来アクセスできない機能や情報にアクセスできる可能性があり、直ちに最新バージョン2.3.71へのアップデートが推奨される。

【CVE-2024-44021】WordPressのTruepushプラグイン1.0.8に認証...

2024年11月12日

WordPressのTruepushプラグインにおいて、バージョン1.0.8以前のすべてのバージョンに影響する認証の脆弱性が発見された。CVE-2024-44021として識別されるこの脆弱性は、アクセス制御のセキュリティレベルが正しく構成されていない問題であり、CVSSスコア5.4（中程度）と評価されている。CISAによる評価では技術的影響は部分的とされているが、早急な対応が推奨される。

【CVE-2024-44021】WordPressのTruepushプラグイン1.0.8に認証...

2024年11月12日

WordPressのTruepushプラグインにおいて、バージョン1.0.8以前のすべてのバージョンに影響する認証の脆弱性が発見された。CVE-2024-44021として識別されるこの脆弱性は、アクセス制御のセキュリティレベルが正しく構成されていない問題であり、CVSSスコア5.4（中程度）と評価されている。CISAによる評価では技術的影響は部分的とされているが、早急な対応が推奨される。

【CVE-2024-44020】WordPress WP Free SSL 1.2.6の重大な...

2024年11月12日

Patchstack OÜがWordPressプラグイン「WP Free SSL」のバージョン1.2.6以前に認証の脆弱性が存在することを報告した。CVE-2024-44020として識別されるこの脆弱性は、CWE-862に分類される認可制御の不備が原因で、CVSSスコア4.3の中程度の深刻度を記録している。SSL証明書の管理やHTTPS強制設定に関する機能に影響を与える可能性があり、早急な対応が推奨される。

【CVE-2024-44020】WordPress WP Free SSL 1.2.6の重大な...

2024年11月12日

Patchstack OÜがWordPressプラグイン「WP Free SSL」のバージョン1.2.6以前に認証の脆弱性が存在することを報告した。CVE-2024-44020として識別されるこの脆弱性は、CWE-862に分類される認可制御の不備が原因で、CVSSスコア4.3の中程度の深刻度を記録している。SSL証明書の管理やHTTPS強制設定に関する機能に影響を与える可能性があり、早急な対応が推奨される。

【CVE-2024-43998】WordPressテーマBlogpoet 1.0.3に認証バイ...

2024年11月12日

WebsiteinWP社が提供するWordPressテーマBlogpoet 1.0.3およびそれ以前のバージョンにおいて認証バイパスの脆弱性が発見された。CVE-2024-43998として識別されるこの脆弱性は、CVSSv3.1で6.5のミディアムレベルと評価されており、アクセス制御の欠如により正規の認証プロセスをバイパスされる可能性がある。対策としてバージョン1.0.4への更新が推奨される。

【CVE-2024-43998】WordPressテーマBlogpoet 1.0.3に認証バイ...

2024年11月12日

WebsiteinWP社が提供するWordPressテーマBlogpoet 1.0.3およびそれ以前のバージョンにおいて認証バイパスの脆弱性が発見された。CVE-2024-43998として識別されるこの脆弱性は、CVSSv3.1で6.5のミディアムレベルと評価されており、アクセス制御の欠如により正規の認証プロセスをバイパスされる可能性がある。対策としてバージョン1.0.4への更新が推奨される。